在過去的2018年,云計算領域中的安全事故頻發,“云安全”讓人們不可避免的對云計算懷抱著質疑的態度,既想得到云計算帶來的巨大收益,又對云安全事故會帶來的巨大傷害心存隱憂。隨著全球云計算市場的快速擴張,云安全正在面臨巨大的挑戰。如何做好云安全?如何滿足企業安全需求?京東云安全專家從架構、運維、產品、服務四個方面,對京東云安全體系進行了深入講解。
一、架構:安全的基礎
首先,京東云安全架構在存儲方面給租戶提供了AES256加密的存儲產品,如云硬盤、數據庫存儲等。同時,所有的靜態數據加密最終使用的都是密鑰管理服務(Key Management Service),用KMS來保證用戶主密鑰的安全,服務于數據全生命周期管理,滿足用戶數據安全監管合規需求。KMS最核心的密鑰控制是基于硬件的,無法通過任何軟件手段來偽造或者竊取。
在網絡層面,除了海量DDoS防護能力,云 WAF這些基本功能之外,京東云安全有自己的特色:用訪問控制檢測和過濾網絡層數據和流量的方式,實現云上邏輯隔離的網絡環境,通過專線和VPN,為用戶建立云上業務與本地業務間互聯的安全壁壘。此外,京東云會在網絡與業務的邊界構建縱深防御與響應機制,比如設置邊界防火墻、安全組隔離與訪問控制、網絡入侵檢測與響應、異常網絡流量分析、安全蜜罐等一系列的隔離和控制措施來保障京東云網絡的安全,虛擬主機,降低京東云網絡的整體風險等級。
在主機和系統應用服務方面,京東云提供了服務與服務間相互調用的安全機制,每一個服務都有自己的身份,在相互調用時,會對其身份進行合法性檢測,確認該服務主體是否有權限調用其他的應用服務。在確保服務間調用的安全可信之后,即使內網遭到入侵,入侵者也無法獲得數據。此外,京東云使用類似Docker的輕量級云主機安全管理機制,實現操作系統安全自動化運維,主機風險可視化,入侵行為精準實時防御和告警。
二、運維:嚴格的隔離、控制權限
京東云對運維人員的權限采取嚴格的隔離和控制:只允許擁有系統權限的人進行運維管理工作。在這個過程中如果發生意外,可以提取、分析系統日志,快速定位并解決問題。
隨著歐盟、北美對個人隱私、個人敏感數據的法律監管力度的加強,國內也在逐步的提升這方面的監管力度,所以,京東云針對個人數據隱私的保護已構建了完善的措施。比如對于涉及用戶個人隱私數據,京東云從存儲、傳輸、使用和最終銷毀都有完善的控制體系,保證個人隱私數據在這個過程中不會被濫用。
此外,虛擬主機,京東的白帽子團隊,會幫助京東云安全團隊發現一些安全的潛在漏洞。同時,一些第三方的信息來源也會幫助京東云及早發現安全風險,然后即刻啟動安全防護預案,從根源入手,把安全風險控制住。
三、產品:豐富且定制化
京東云的安全產品表面看起來與其他云廠商并沒有多大區別,但是有著自己的特點:
第一,京東云同時提供應用安全網關(VPC-WAF)和Web應用防火墻(云WAF)兩種WAF產品形態,滿足不同客戶需求,提供多樣化的Web安全解決方案。目前,京東云是國內唯一支持部署VPC-WAF的云服務商。
第二,無論是DDoS、WAF,還是態勢感知、應用安全網關等,京東云安全團隊都會根據客戶的業務場景,比如網站,語音服務,視頻服務等進行定制化開發。
第三,一直以來,京東云為京東商城持續提供技術支持與業務安全保障,通過歷年的6.18,雙十一這類非常具有挑戰性的大型促銷活動的經驗積累與技術沉淀,京東云安全擁有了寶貴的實戰經驗和同類業務場景的安全最佳實踐能力,基于此,京東云完全能夠為客戶創造更多價值。
第四,京東云所有的云安全產品都有相應的私有云版本,支持在客戶本地的IDC中完成部署和交付,并能夠與云上的安全產品進行聯動。目前,京東云大部分安全產品均已擁有本地化部署和硬件交付形態,能夠完全適配不同行業客戶業務場景的需求。此外,若客戶本地IDC的安全防護能力有限,就通過與云端聯動采取一鍵上云的操作,利用云端海量的帶寬、數據、資產信譽、威脅情報實現大型DDoS攻擊防護、未知威脅檢測、0 days漏洞檢測與響應、網絡安全態勢感知和預測等。
